Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIDAD TEMÁTICA 1:
INTRODUCCIÓN A LA SEGURIDAD
DE LA INFORMACIÓN
Sin duda el crecimiento explosivo del Hardware y en menor medida del Software, ha sometido a las
organizaciones a la dictadura de la Informática, sin cuya eficiencia ya no se concibe su actuación en
un mercado moderno y competitivo; pero al mismo tiempo la falta de conceptos de Seguridad
respecto a las ventajas comerciales que la provisión indiscriminada de elementos informáticos
aporta a sus fabricantes, ha dejado a las organizaciones en un estado de indefensión ante ataques a
la confidencialidad, la integridad y hasta la confiabilidad de las informaciones que manejan.
En el estudio de esta especialidad también se han cometido errores, propios del inicio de una técnica
aún difusa en muchos de sus aspectos. Por ejemplo, la mayor parte de la bibliografía pretende
asociar la Seguridad Informática casi exclusivamente a la Criptografía y a sus algoritmos
funcionales, dejando de lado otros aspectos de tanta o mayor importancia. El presente trabajo trata
de aunar todos los conceptos interdisciplinarios que comprende la especialidad, asociando la
experiencia, la teoría y las novedades que surgen permanentemente, dejando aclarado que cada
nuevo producto que aparece en el campo informático deberá tener su nuevo y propio estudio de
Seguridad, que adapte las actuales técnicas activas y pasivas a las características de sus
innovaciones.
Finalmente, debe recordarse que la Seguridad Informática es básicamente un concepto y como tal
depende de quien la aplique; sin duda el punto mas importante es la inclusión de sus pautas en el
Diseño de los Sistemas, el cual, además de lograr eficiencia utilizando al máximo las herramientas
que las configuraciones disponibles le ofrezcan, debe contemplar las aplicaciones de Seguridad que
esas configuraciones permiten y completarlas con las propias características operativas del Sistema
en caso de ser necesario.
Es aquí donde la tecnología juego un rol fundamental. No como un fin en sí mismo, sino como un
medio para lograr los objetivos propuestos.
El rol fundamentar que ha tomado la tecnología en los últimos años es decisivo en todo aspecto.
Desde una red de defensa de un país, naves no tripuladas o banca electrónica, hasta llegar a las
redes sociales o los utilitarios empleados en nuestros hogares, habiéndose marcado un rumbo del
que no hay regreso.
Pero, evidentemente, no son de igual importancia los sistemas de una base aeroespacial o de una
central atómica, que las de una red social para búsqueda de amigos. Tampoco es de igual interés
para aquellos que atentan contra éstos.
Debemos entender que no estamos produciendo tecnología como último fin, sino soportando
procesos de negocios. Estamos proveyendo a las organizaciones servicios que les permiten
desarrollar sus estrategias.
Y, dentro de los servicios que ofrecemos, la seguridad es uno de ellos. Pero la seguridad, si bien
tiene una fuerte base en la tecnología, tiene por objetivo asegurar que la compañía administre los
riesgos de sus procesos de negocios.
La pregunta de rigor es ¿qué vendemos cuando vendemos seguridad? Lo primero que se nos viene a
la mente es: tranquilidad.
Entender quién es nuestro cliente y qué necesita, es una ardua tarea para la que no hemos sido
preparados adecuadamente. Sin embargo, como profesionales, estamos ofreciendo un servicio que
alguien necesita. ¿Compraría usted algo que no necesita? Probablemente no. Sin embargo muchas
veces lo hacemos, luego queda arrumbado en un rincón y no sabemos qué hacer con eso, hasta que
lo tiramos.
¿Qués es lo que queremos para nosotros como profesionales? Quedar arrumbados en un rincón,
seguramente que no. Queremos ofrecer servicios de alto valor agregado, que nuestros clientes
querrán obtener y, por supuesto, pagar muy bien por ellos. Para esto, es necesario identificar nuestro
cliente y entender que necesita, para ofrecerles eso y algo más.
Un buen informe, que es nuestro producto físico, debe estar acompañado de información que
permite tomar decisiones; allí aparece nuestro producto de valor. La paranoia nos acompaña como
producto imaginario y aveces no tanto.
Se considera que algo está seguro si ninguna amenaza se cierne sobre ello o el riesgo que las
existentes lleguen a materializarse es despreciable.
La Seguridad Informática
“Es la rama de la Seguridad que se ocupa de los procesos informáticos, su operación, diseño y
correlación con los Sistemas Administrativos en los que actúan”.
La importancia de los daños que se pueden causar esta dado no sólo por la importancia de los
Sistemas Informáticos ya descripta sino también por la variedad de sus causas, yendo desde errores
humanos hasta sabotajes, robos de información, cataclismos, fraudes, fallos en equipos y virus.
Es imperativo que tengamos un conocimiento amplio acerca de cómo funciona la organización para
la que estamos trabajando, sus procesos de negocios, sus objetivos y otros aspectos. Solo de esta
manera podremos tener una visión global acerca de cómo es adecuado proteger la información con
la que trabajamos.
Esta es una profesión para la cuál precisamos estudiar una gran cantidad de material, teniendo en
mente varios estándares y metodologías, lo que puede llevarnos a pensar solamente en lo que
debería hacerse y olvidarnos de lo que pueden hacerse. Lo que debería hacerse es exactamente lo
que dice la norma ISO 27000.
Si nos detenemos a pensar, esta es una norma escrita por profesionales destacados, con una amplia
experiencia y un entendimiento claro de lo que es la seguridad de la información.
Lo que puede hacerse son las mejores prácticas que podemos implementar, muchas veces,
basándonos en normas como la ISO 27000, pero considerando que nuestros recursos son limitados.
Incluso en las organizaciones más grandes, los recursos tienen un límite; la única diferencia es la
cantidad de ceros a la derecha que tienen esos límites.
Aquí entra en juego nuestra capacidad para poner los pies sobre la tierra y discernir entro lo que
dice una norma de mejores prácticas acerca de todo lo que debería hacerse para proteger la
información de un organización, y los recursos con lo que cuenta una entidad para implementar
medidas de seguridad, sin entrar en quiebra para tener que realizar duchas inversiones.
Tengamos en cuenta que los objetivos de las organizaciones son variados: captar más cliente, ganar
más dinero, brindar mejore servicios, tener los costos más bajos y otros, pero no existe ninguna
organización en la que el objetivo principal sea “tener las mejores medidas de seguridad”.
Como todo individuo de una organización, nuestro trabajo es ayudar que este alcance sus objetivos.
Nosotros lo haremos implementando las medidas de seguridad adecuadas, para evitar pérdida de
datos, robo de información y fraudes.
Teniendo esto en cuenta, seremos profesionales que aporten verdadero valor a la organización y
estaremos muy bien vistos en todos los niveles jerárquicos de la empresa.
Por lo tanto, es preciso esta ampliamente capacitados en varias tecnologías, y mantener un estudio
constante acerca de los cambios y las nuevas posibilidades que se abren año tras año. En varias
carreras, para tener éxito necesitaremos alcanzar algo que se llama superespecializamiento
extremadamente avanzado acerca de un tema específico. Por ejemplo, hay profesionales que están
superespecializados en tecnologías de storage. Esto les permite ser primer nivel con la capacidad de
solucionar prácticamente cualquier tipo de problemas que pueda surgir dentro de su área de estudio.
tecnologías. Esto nos dará una visión abarcativa de todo la infraestructura tecnológica, con lo cuál
tendremos la capacidad de implementar soluciones de seguridad para toda la organización en cuenta
todos los aspectos que la afectan.
Si bien este tipo de reconocimientos puede abrirnos las puertas a diferentes oportunidades laborales,
no son totalmente necesarios. Tomando otras carreras como ejemplo, ya sea la medicina, la
abogacía o la contaduría, todas requieren obligatoriamente el título de grado para poder ejercer.
Dicho esto, muchas veces surge el interrogante de si es necesario o no poseer certificaciones que
acrediten nuestras competencias profesionales. Aquí como en muchas otras cuestiones, la respuesta
es: "depende". Siempre debemos tener en cuenta el costo y el beneficio asociado a tener una
acreditación. El costo puede ser económico, el tiempo de estudio que nos demande, etc. También
debemos considerar el cargo profesional al que apuntamos, debido a que en ciertas organizaciones
es imprescindible tener un titulo para obtener trabajo.
CEH ofrece un amplio programa de hacking ético y de formación de seguridad en redes para
cumplir con los más altos estándares para profesionales.
Cientos de pymes y autores han contribuido al contenido que se presenta en el material pedagógico
del CEH. En cada pack se ofrecen las últimas herramientas y exploits descubiertos en la comunidad
underground. Sus investigadores han invertido miles de horas analizando las últimas tendencias y
descubriendo las técnicas secretas utilizadas.
CEH Ethical Hacking es una certificación de nivel intermedio desarrollada y promovida por el
International Council of Electronic Commerce Consultants (EC-Council). Esta certificación se ha
convertido en el estándar por defecto de todos aquellos profesionales que quieren convertirse en
Hacker Ético.
El profesional que obtiene la certificación CEH Ethical Hacking posee habilidades y conocimientos
en las siguientes áreas:
El CISM es el estándar aceptado globalmente para las personas que diseñan, construyen y gestionan
los programas de seguridad de la información empresarial.
El examen consiste de 200 preguntas de opción múltiple que deben ser contestadas en 4 horas. El
examen está dividido en 5 áreas:
La certificación CISSP no es muy fácil obtenerla. El candidato requiere tener al menos 5 años de
experiencia en al menos dos de los diez siguientes Common Body of Knowledge (CBK):
• Access Control
• Telecomunications and Network Security
• Information Security Governance
• Risk Management
• Software Development Security
• Cryptography
• Security Architecture and Design
• Operations Security
• Business Continuity
• Disaster Recovery Planning
• Physical Security
• Legal Regulations
• Investigations and Compliance
CompTIA Security +
La certificación Security+ está reconocida por el U.S Department of Defend como requisito válido
para la certificación Information Assurance (IA).
• Cryptography
• dentity Management
• Security Systems
• Organizational Systems
• Security Risk Identification and Mitigation
• Network Access Control
• Security Infrastructure
Pero hay un rol y una función que muy pocos conocer: el navegante. Su tarea consiste en leer las
cartas de navegación, saber la ubicación actual y exacta del buque, ver el clima, el estado de los
motores, el estado general del barco y de la tripulación y, fundamentalmente, saber dónde está el
puerto al que se quiere arribar, en qué tiempos (objetivos), el camino que se quiere seguir
(estrategia) y en qué estado se quiere llegar (valores). Su función es entender los riesgos a los que
está expuesto el barco, que puedan impedir la llegada a destino en las condiciones planteadas. E
informar de esto al capitán para que pueda tomar la mejor decisión.
El método: conocer claramente los objetivos del negocio, sus estrategias, tácticas y valores. A partir
de ellos, realizar una análisis de riesgos, involucrado en él a la gerencia.
El resultado: la decisión correcta. Por lo tanto, comienza a aparecer de apoco el qué vendemos: Una
metodología de análisis de riesgos, lo suficientemente robusta, para que la gerencia pueda evaluar a
qué está expuesto el negocio y tomar la decisión correcta. Y sobre la base de esta decisión, un
proceso de implementación que nos permita asegurar razonablemente, que vamos a llegar a buen
puerto.
b) Integridad: Se refiere a que la información producida tiene los contenidos en calidad y cantidad
con que fue diseñada (contrario a fraude).
Los efectos perjudiciales pueden ser mucho mayores que sobre la confidencialidad dado que puede
tardarse mucho tiempo en detectar el ataque (ejemplo: redondeos, descuentos a clientes).
La única diferencia que debe existir entre unos y otros profesionales es el porcentaje de contacto
que tendrán con cada uno de los aspectos de la seguridad.
Dado que un gerente pasará más horas de su jornada redactando y analizando políticas, y que una
administrador analizará configuraciones de sistemas y redes durante la mayor parte de su tiempo,
ambos deber conocer en su totalidad las tareas por realizar.
Esta regla se basa en ejecutar cada uno de los procesos de un sistema con sólo los privilegios
necesarios para que si esa parte queda comprometida el atacante obtenga los mínimos permisos
posibles. Por ejemplo, si la página Web del sitio público accede al motor de bases de datos con más
privilegios de los necesarios un atacante podría, si encuentra un fallo en la aplicación Web, acceder
a información sensible e incluso modificar datos en tablas críticas de otras bases de datos.
Los servidores deben ejecutar sólo los procesos que son necesarios para el cumplimiento de sus
roles. Si un servidor no tiene ninguna impresora configurada, el servicio de spooler de impresión
debe ser deshabilitado. Esto permite que un servidor tan sólo pueda ser atacado por fallos que de
verdad le ataquen y no que quede comprometido por un software que no es necesario para su
funcionamiento.
Este principio se basa en la suposición de que cualquier medida anterior ha podido fallar y debemos
proteger el sistema desde el punto actual. Es decir, un firewall protege el acceso al segmento de la
red y comprueba el usuario que accede a los datos de un servidor de archivos, pero en el servidor de
ficheros debemos volver a comprobar que el usuario tiene privilegios suficientes para poder acceder
a ellos.
Suponemos que el Firewall puede haber fallado y un atacante ha encontrado la forma de saltarse la
protección. La política de defensa en profundidad implica la aplicación de todas las medidas de
seguridad que se puedan aplicar sin deteriorar el rendimiento del sistema, pues hay que tener en
cuenta que la disponibilidad es una de las características de un sistema seguro y toda medida de
seguridad lleva un coste en tiempo que hay que evaluar.
Las cosas simples y fáciles de entender suelen tener muchas mejor aceptación que las complejas.
Cuando hablamos de gestión de la seguridad es muy frecuente el uso de ciertos términos que, a
veces, se intercambian incorrectamente y suelen prestarse a confusiones. Por esa razón, les
propongo analizar con brevedad cada uno de ellos.
Activo es cualquier recurso de la empresa necesario para desempeñar las actividades diarias y cuya
no disponibilidad o deterioro supone un agravio o coste. La naturaleza de los activos dependerá de
la empresa, pero su protección es el fin último de la gestión de riesgos. La valoración de los activos
es importante para la evaluación de la magnitud del riesgo.
11.4 Vulnerabilidad
Es una debilidad en algún software, hardware o precedimiento que puede permitir a un atacante
realizar acciones que, normalmente no tiene permitidas. En general, tiene como raíz la ausencia o la
debilidad en uno o más controles.
11.5 Amenaza
Es cualquier peligro potencial sobre la información y/o los sistemas. La amenaza es alguien o algo
que aprovecha una vulnerabilidad existente y la utiliza para provicar un daño. Puede ser de tipo no
intencional (como errores humanos, tornados, terremotos, etc) o intencionales (ciberdelincuentes,
empleados furiosos, etc).
11.6 Exposición
Se refiere al impacto negativo que podriamos llegar a sufrir en caso de que la vulnerabilidad fuera
explotada. El término "Exposición" hace referencia al daño "probable" como "impacto".
11.7 Riesgo
11.8 Contramedida
Se utiliza para mitigar los riesgos. Puede ser una configuración de software, un dispositivo o
reduzca el riesgo de ocurrencia de que un agente de ataque explote dicha vulnerabilidad.
Una vulnerabilidad puede ser explotada por una amenaza, hecho que generaría un
cierto grado de exposición. Esto representa un riesgo, que es mitigable a través de
contramedidas.
‘70: seguridad en manos del System Programmer (una persona especilizada en Sistemas Operativos
de grandes equipos que se encarga de administrar la seguridad)
‘90: proliferan las redes LAN, los virus y aparece Internet; todo tiene un gran criterio comercial,
pero sin seguridad. Sólo a fines de los ’90 se le da real importancia a este tema, partiendo de la
Auditoría Informática en las entidades financieras
‘00: principalmente por los problemas con Internet se transforma la Seguridad Informática en una
necesidad. Se popularizan las medidas de prevención, cifrado, criptoanálisis, firma digital y las
autoridades de certificación aplicadas a las redes de ATM y el e-comerce.
‘10: Los riesgos se trasladas a la “nube” y los dispositivos móbiles que se utilizan a diario,
criptomonedas y las nuevas tecnologías.
Antes de pensar siquiera en implementar medidas de seguridad, debemos tomar acciones para
conocer a fondo nuestra infraestructura tecnológica. De este modo, podremos asignarles un valor a
los activos que la componen y así, definir nuestras prioridades y los recursos que vamos a invertir
para proteger cada uno de ellos.
Esto nos da una idea del tipo de preguntas que debemos realizar, ya sea a través de cuestionarios o
de entrevistas personales.
Una vez que tengamos bien identificados los procesos de negocios críticos, debemos pasar a
describir nuestra infraestructura tecnológica. Para esto, podemos entrevistarnos con los encargados
de las áreas técnicas, que la mantienen y le dan soporte.
• Usuarios (tanto los que brindan soporte como los que utilizan)
• Topologías de la red actual (diagramas de la red)
• Flujo de información (conexiones con otros sistemas, internos y externos)
• Tareas del sector de IT (Copias de seguridad, mantenimiento, replicación de datos,
procedimientos para alta, baja y modificación de cuentas, etc)
Y para cada uno de los dispositivos registrados debemos tomar nota de:
Es de vitar importancia poder conectar las respuestas obtenidas de la gerencia con el inventario de
activos de información, para determinar qué sistemas intervienen en el desarrollo de cada uno de los
procesos de negocio identificados como críticos. Con todos estos datos a nuestra disposición,
estaremos en condiciones de armar una tabla de activos y prioridades, la cuál vamos a necesitar para
completar las siguiente etapas del proceso de gestión.
Para esto, existen dos tipos de análisis; el cuantitativo, en el que asignamos valores monetarios a
cada uno de nuestros activos; y el cualitativo, en el cuál nos basamos en valores de una escala (por
ejemplo de 1 a 10) para reflejar la importancia que le otorgamos a cada uno.
Cada método tiene sus ventajas y desventajas. Podemos destacar, rápidamente, que los análisis
cuantitativos son más exactos y más fáciles de entender por la gerencia, pero requieren un trabajo
muchísimo mayor y una gran cantidad de cálculos. Por su parte los cualitativos se basan más en la
percepción de necesidad que tienen las personas sobre un activo, lo que los vuelve mucho más
sencillos de realizar y, si bien pueden ser no tan exactos, conforma una excelente fuente de
información para la toma de decisiones. El tiempo de análisis que vayamos a utilizar dependerá de
cada uno de nosotros, según nuestros recursos y necesidades.
CUALITATIVO CUANTITATIVO
Ventajas Ventajas
- Requiere cálculos simples - Permite un mejor análisis costo-beneficio
- Es fácil de mantener - Es más entendible por la gerencia
- Lleva menos tiempo de elaboración - Puede automatizarse
Desventajas Desventajas
- Los resultados son básicamente subjetivos - Los cálculos son mucho más complejos
- No podemos obtener valores monetarios - Sin automatización, es muy complicado
- No existen estándares publicados - Se necesita mucha trabajo previo
- No existen estádares publicados
El impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es
una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del
impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma.
Las actividades cuyo objetivo es mantener el riesgo por debajo del umbral fijado se engloban en lo
que se denomina Gestión del riesgo. Las organizaciones que decidan gestionar el riesgo para
su actividad deberán realizar dos grandes tareas:
Análisis de riesgo Que consiste en averiguar el nivel de riesgo que la empresa está soportando. Para
ello, tradicionalmente las metodologías proponen que se realice un inventario de activos, se
determinen las amenazas, las probabilidades de que ocurran y los posibles impactos.
Tratamiento de los riesgos Para aquellos riesgos cuyo nivel está por encima del umbral deseado la
empresa debe decidir cuál es el mejor tratamiento que permita disminuirlos. Esta decisión siempre
ha de pasar un filtro económico donde el coste del tratamiento, o coste de protección, no supere el
coste de riesgo disminuido.
Para el tratamiento de riesgos las empresas cuentan, entre otras, con las siguientes opciones:
Evitar o eliminar el riesgo Por ejemplo sustituyendo el activo por otro que no se vea afectado por la
amenaza o eliminando la actividad que lo produce.
Reducirlo o mitigarlo Tomando las medidas oportunas para que el nivel de riesgo se sitúe por
debajo del umbral. Para conseguirlo se puede:
_reducir la probabilidad o frecuencia de ocurrencia: tomando, por ejemplo, medidas preventivas
Aceptarlo Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo bien en
situaciones en las que los costes de su tratamiento son elevados y aun siendo riesgos de impacto alto
su probabilidad de ocurrencia es baja o porque aun a pesar del riesgo la empresa no quiere dejar de
aprovechar la oportunidad que para su negocio supone esa actividad arriesgada.
A veces nos olvidamos de esto porque todo marcha bien, y seguramente lo recordaremos cuando
haga algún problema y alguien tenga que "pegar los platos rotos".
Una de nuestras principales tareas es no solo ser responsables de nuestros actos, sino también
recordarles a los demás que también tienen responsabilidades que cumplir.
Desde la alta gerencia hasta los empleados de más bajo rango, todos los integrantes de la
organización tienen distintas obligaciones que cumplir y también son responsables de velar por los
intereses comunes. Esto debe ser puesto en claro desde un primer momento para evitar confusiones
y malentendidos que más tarde pueden ser catastróficos, tanto para la empresa como para las
personas que la componen.
Pero no siempre se tiene en cuenta que la seguridad informática es un tema que abarca a las
organizaciones en su totalidad y es por eso que cada uno de sus miembros debe tener las nociones y
los fundamentos de seguridad bien presentes.
Muchas de las vulnerabilidades e incidentes de seguridad ocurren por negligencia de los usuarios.
Pero esto no quiere decir que la culpa sea de los propios usuarios, sino más bien de los responsables
de la organización, que no vieron la importancia de capacitarlos correctamente.
Es por eso que debemos tener en cuenta la necesidad de desarrollar un programa de capacitaciones
dirigido específicamente a los usuarios finales, para educarlos y que sepan exactamente cómo
comportarse y reaccionar ante cualquier actividad sospechosa.
La formación mas efectiva de brindar estás capacitaciones es ponerlas a disposición de los usuarios
de manera online y hacer que luego ellos tengan que rendir un pequeño exámen de preguntas al
azar, para demostrar que han prestado atención al contenido visto y esta seguros de que lo han
entendido.
Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no.
Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información
confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un
documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida
de una laptop o un pen drive, así como también el acceso externo a una base de datos en la
organización o un equipo infectado con un Spyware que envíe información a un delincuente.
Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la
organización termina en manos de un tercero, que no debería tener acceso a la misma.
La información expuesta puede ser de cualquier índole: un listado de empleados con datos
personales, listado de salarios, base de datos de clientes o una fórmula o algoritmo secretos, por
citar algunos ejemplos.
Es difícil medir el impacto de la fuga de información pero puede ser muy diverso, especialmente
según la intencionalidad del incidente. En aquellos casos en que se trata de un accidente no
intencional, el impacto en la empresa dependerá de qué ocurre con el nuevo poseedor de esa
información. Si se supone que un gerente de la empresa pierde una computadora portátil, el impacto
puede ser nulo si quién la encuentra ignora la información que allí se contiene y formatea el
sistema; o puede ser alto si el nuevo poseedor identifica los datos y los utiliza para publicarlos,
comercializarlos o cualquier otra acción dañina.
Por otro lado, en los incidentes intencionales (es decir, maliciosos) el impacto está más claro: esa
información puede ser utilizada para realizar un ataque a la organización, para venderse, para
hacerse pública o para afectar la reputación o imagen de la organización. En cualquiera de los casos
la fuga de información se caracteriza por ser un incidente que difícilmente pueda ser reparado o
realizar algún procedimiento que permite “volver atrás” la situación.
de otro tipo a material protegido por la propiedad intelectual, son todos incidentes que aplican a la
fuga de información.
Por otro lado, un estudio reciente de Intel, que ya comentamos en el blog, analiza el costo promedio
para una empresa al perder una laptop. El mismo afirma que la mayor pérdida monetaria está
asociada a la pérdida por violación de datos. Esto certifica que la fuga de información posee un
impacto importante a considerar por cualquier organización.
Más allá de ser una interesante definición, veamos cuál es la definición de la “nueva escuela”:
Es el arte de engañar a las personas para convencerlas de que ejecuten las acciones o actos que el
atacante necesite para lograr cumplir su cometido, utilizando técnicas psicológicas y habilidades
sociales de manera consciente y premeditada para la obtención de información de terceros, ya sea
valiéndose de herramientas (como teléfono, el e-mail, internet, carta o cualquier medio de
comunicación) o no, a través de las relaciones interpersonales o a través de la investigación en
sistemas y repositorios de información pública. Como característica esencial, un ataque de
ingeniería social resulta exitoso por fallas humanas, por falta de procedimiento internos eficaces,
normalemente asociado a la falta de clasificación de la información y a la capacitación del personal
sobre la base de dicha clasificación y sus cuidados.
Seguridad Pasiva: es aquella que prepara al sistema para el caso en que el desastre que amenazaba
el riesgo se haya producido; ejemplo, sistemas de back-up.
introducidos
- Antivirus residente
actualizado
Muchas veces las organizaciones toman “el camino corto” y empiezan a instalar aplicaciones de
seguridad y a poner pegamento en los puerts USB para bloquearlos. El problema no está en lo
precario de aplicar el pegamento, sino en lo inútil de trabajar sin saber hacia dónde queremos ir.
Lo que debemos hacer es empezar por tener una idea amplia y poco específica de lo que queremos
obtener. Luego, sobre la base de estas ideas, pasaremos a trabajar en los detalles de las tareas que
vamos a realizar para alcanzar los objetivos fijados.
El siguiente paso es desarrollar e implementar las guías, estándares y procedimiento que van a
soportar las ideas generales escritas inicialmente.
A medida que avanzamos en el proceso, vamos siendo cada vez más específicos, pero siempre con
los objetivos principales en mente, hata llegar a definir cada una de las configuraciones necesarias
para complir con nuestras metas.
Es importante trabajar con estas metodología, porque eso hace que no necesitemos realizar cambios
drásticos ni rediseñar grandes partes de nuestros planes. Al principio, puede parecer que este
enfoque lleva más tiempo y trabajo, pero, a medida que avancemos, notaremos que es el enfoque
más sencillo, práctico y acertado.
Un programa de seguridad debe estar soportado y dirigido por la alta gerencia, para luego ser
distribuido hacia abajo en el árbol jerárquico, hasta alcanzar a toda la organización.
Este enfoque se conoce como desde arriba hacia abajo. De esta forma, es fácil que toda la
organización sea contagiada con los conceptos propuestos, y así se logre un trabajo armonioso y
cooperativo. Este es el enfoque indica si consideramos que la seguridad de la información debe ser
prioridad dentro de los objetivos de la organización, que son definidos, como cualquier otro, por la
alta gerencia.